Josh16 10 Geschrieben 22. Dezember 2004 Melden Teilen Geschrieben 22. Dezember 2004 Guten morgen, ich habe folgendes Problem bei der Umstellung meiner Netzwerkinfrastruktur. Momentan habe ich ein einziges großes Netz IP: 10.1.0.0 SM: 255.255.0.0 Zum besseren Überblick wurde an alle Server 10.1.1.0, Workstations 10.1.2.0, Drucker 10.1.6.0 usw. vergeben. Da ich jetzt auf eine neue Firewall umstelle (CheckPoint) möchte ich auch gleich die Netze etwas verkleinern, dabei sollen sich aber die IP Adressen nicht ändern. Ich habe vor einfach die Subnetmask etwas zu verkleinern. SM: 255.255.255.0 Jetzt zu meiner eigentlichen Frage :D Es müsste doch funktionieren wenn ich der Internen NIC der Firewall die IP: 10.1.1.1 SM: 255.255.0.0 gebe, dass sie als Router für alle Subnetzte fungiert. Sie muss nur bei allen Rechnern als Default Gateway eingetragen sein, oder? Ich möchte nämlich nicht für jedes Subnetz eine eigene NIC einbauen (außerdem hat der Firewallrechner nicht soviele Steckplätze :D ) Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 22. Dezember 2004 Melden Teilen Geschrieben 22. Dezember 2004 Nach allen Regeln von TCP/IP geht da nicht. Funktioniert aber trotzdem. Wir hatten mal einen Router, der leider nur eine IP-Adresse annehmen konnte. Wir haben folgendes konfiguriert Router 192.168.1.1 255.255.0.0 Netz1 192.168.1.0/24 Netz2 192.168.2.0/24 Beide Gateway 192.168.1.1 Wie gesagt: der reinen Lehre nach geht s nicht, es geht aber... Zwischen den Netzen wurde dabei nicht geroutet (das war auch der Sinn der Sache) lediglich aus beiden Netzen ins Internet. Um zwischen den Netzen zu Routen müsste Dein Router irgendwelche Einstellungen haben. Ob der das kann wage ich zu bezweifeln. Kannst Du der Firewall nicht zwei IP-Adressen geben? Ich denke am Ende wirst Du mit dem großen Netz leben müssen, oder alle IPs anfassen müssen. Michael Zitieren Link zu diesem Kommentar
kobalt 10 Geschrieben 22. Dezember 2004 Melden Teilen Geschrieben 22. Dezember 2004 Hallo, Da ich jetzt auf eine neue Firewall umstelle (CheckPoint) möchte ich auch gleich die Netze etwas verkleinern, dabei sollen sich aber die IP Adressen nicht ändern. Ich habe vor einfach die Subnetmask etwas zu verkleinern. SM: 255.255.255.0 Dabei werden die Netze in der Tat kleiner. Nach deiner Beschreibung hast Du dann ein Netz für die Server, eins für die Clients und eins für die Drucker. Das macht herzlich wenig Sinn. Gruß kobalt Zitieren Link zu diesem Kommentar
Josh16 10 Geschrieben 22. Dezember 2004 Autor Melden Teilen Geschrieben 22. Dezember 2004 Original geschrieben von micha42 Nach allen Regeln von TCP/IP geht da nicht. Funktioniert aber trotzdem. ... Kannst Du der Firewall nicht zwei IP-Adressen geben? ... Michael Hallo Michael, danke für deine Antwort. Ich bin der Meinung, das es seit CIDR und VLSM auch offiziell funktionieren müsste. Ich kann einem Interface leider nur zwei IPs zuweisen, das reicht aber bei weitem nicht aus. Evtl. kann mir jemand anders noch weiterhelfen? Zitieren Link zu diesem Kommentar
Josh16 10 Geschrieben 22. Dezember 2004 Autor Melden Teilen Geschrieben 22. Dezember 2004 Original geschrieben von kobalt Hallo, Dabei werden die Netze in der Tat kleiner. Nach deiner Beschreibung hast Du dann ein Netz für die Server, eins für die Clients und eins für die Drucker. Das macht herzlich wenig Sinn. Gruß kobalt Hallo Kobalt, der Sinn liegt darin, dass ich über die Firewall Regeln erstellen kann und somit den Zugriff auf die Server aus dem Internen Netz limitieren kann, ähnlich einer DMZ. Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 22. Dezember 2004 Melden Teilen Geschrieben 22. Dezember 2004 Original geschrieben von Josh16 ... Ich bin der Meinung, das es seit CIDR und VLSM auch offiziell funktionieren müsste. mußte gerade erstmal nachgucken was das nun wieder für Abkürzungen sind. Lief bei mir bis dahin unter "Subnetting". ;) Naja was die Begründung angeht: Das Gateway muß meines Wissens (für die reine Lehre) im gleichen Subnetz liegen wie der Host. Was bei der beschreibenen Konfiguration definitiv nicht der Fall ist. Warum es aber trotzdem funktioniert weiß ich nicht. Das kann dann wieder an den Abkürzungen CIDR und VLSM liegen. :D Evtl. kann mir jemand anders noch weiterhelfen? Pöh ;) Michael Zitieren Link zu diesem Kommentar
kobalt 10 Geschrieben 22. Dezember 2004 Melden Teilen Geschrieben 22. Dezember 2004 Hallo Josh16, der Sinn liegt darin, dass ich über die Firewall Regeln erstellen kann und somit den Zugriff auf die Server aus dem Internen Netz limitieren kann, ähnlich einer DMZ. Das ist schon klar, aber es macht - zumindest in den Fällen die ich mir denken kann - keinen Sinn, ALLE Server in eine DMZ zu stellen. Vor welcher Art Angriffen von innerhalb musst Du deine Server denn schützen? Die Clients müssen ja regelmässig mit den Servern kommunizieren (DHCP, DNS, DC) und wenn alles über Router laufen muss verlierst Du nur Geschwindigkeit. Wo wäre Deiner Ansicht nach der Gewinn? Gruß kobalt Zitieren Link zu diesem Kommentar
Josh16 10 Geschrieben 22. Dezember 2004 Autor Melden Teilen Geschrieben 22. Dezember 2004 Original geschrieben von kobalt Hallo Josh16, Das ist schon klar, aber es macht - zumindest in den Fällen die ich mir denken kann - keinen Sinn, ALLE Server in eine DMZ zu stellen. Vor welcher Art Angriffen von innerhalb musst Du deine Server denn schützen? Die Clients müssen ja regelmässig mit den Servern kommunizieren (DHCP, DNS, DC) und wenn alles über Router laufen muss verlierst Du nur Geschwindigkeit. Wo wäre Deiner Ansicht nach der Gewinn? Gruß kobalt Es geht nicht nur um Angriffe von z.B. Würmern die eingeschleppt werden. Es geht hauptsächlich um Berechtigungen. Es gibt Abteilungen die haben auf manchen Servern nichts verloren. Für die Kommunikation über die Standartdienste werden natürlich entsprechende Ports freigegeben. Ich halte es für ein Gerücht das ein Router wesentlich langsamer ist als ein Switch. Zitieren Link zu diesem Kommentar
kobalt 10 Geschrieben 22. Dezember 2004 Melden Teilen Geschrieben 22. Dezember 2004 Es geht hauptsächlich um Berechtigungen. Es gibt Abteilungen die haben auf manchen Servern nichts verloren. Dann dreh die NTFS-/Freigabe-Berechtigungen zu. Das wäre der einfachste Weg. Ob sich die Geschwindigkeit in der Praxis tatsächlich bemerkbar macht, müsste man natürlich erst einmal messen. Theoretisch ist es aber langsamer (z.B. DHCP). kobalt Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.